Google Tehdit Analizi Grubu’nun (TAG) bir raporuna göre, İran devlet destekli bilgisayar korsanları, en az iki düzine yüksek profilli kullanıcının Gmail, Yahoo ve Outlook gelen kutularına sızmanın ve içeriklerini indirmenin yollarını keşfetti.
Charming Kitten olarak bilinen hükümet destekli grup, orijinal olarak 2020’de Hyperscape adlı bir bilgisayar korsanlığı aracı geliştirdi ve bunu son siber saldırıları düzenlemek için kullandı. TAG, analiz için bu aracın bir versiyonunu elde edebildi, Teknoloji Radarı bildirildi.
Google, saldırının, bir kullanıcıyı kötü amaçlı yazılım indirmesi için kandırmak gibi tipik bir bilgisayar korsanlığı ritüelinin olmadığı durumlarda gizli bir şekilde çalıştığını açıkladı. Bunun yerine bilgisayar korsanları, bir hesaba erişmek için güvenliği ihlal edilmiş hesap kimlik bilgileri veya çalınan oturum tanımlama bilgileri gibi güvenlik açıklarından yararlanarak aracı kendi uçlarından kontrol eder.
Bu özel siber saldırı siyasi olarak motive edilmiş olsa da, Google bu güvenlik açıklarının gelecekte başkaları tarafından nasıl kullanılabileceğiyle açıkça ilgileniyor.
Sophos’un yakın tarihli bir raporu, çerez çalmanın siber suçlardaki en son trendler arasında nasıl yer aldığını ayrıntılarıyla anlatıyor. Bilgisayar korsanları, çok faktörlü kimlik doğrulama gibi güvenlik önlemlerini atlamak ve özel veritabanlarına erişmek için bu yöntemi kullanır.
Bu durumda, e-posta hesabına giriş yaptıktan sonra bilgisayar korsanları, e-posta hizmetini bir tarayıcının eski olduğunu düşünmesi için kandırmak için aracı kullanır ve ardından tarayıcıyı temel bir HTML görünümüne geçirir. Ardından gelen kutusunun dilini İngilizce olarak değiştirir ve e-postaları .eml biçiminde indirmeye başlamak için tek tek açar. Bilgisayar korsanları daha sonra açık e-postaları okunmamış olarak işaretler ve tüm uyarı e-postalarını siler, gelen kutusunu orijinal diline geri döndürür ve çıkar.
Görünüşe göre sorunsuz yürütülmesine rağmen, Google siber saldırılar hakkında çok şey öğrendi ve Hükümet Destekli Saldırgan Uyarıları aracılığıyla etkilenen bilinen tüm hesapları bilgilendirdi. TAG, aracın Windows PC’ler için .NET’te yazıldığını deşifre etti ve saldırıların Yahoo ve Outlook gelen kutularında farklı şekilde çalışabileceğini belirtti. Şu anda güvenlik grubu, aracı yalnızca Gmail’de test etmiştir.